什么是ISO/IEC27018

1. 什么是ISO/IEC27018?
ISO27018是保护公有云服务中个人身份信息(PII)的国际标准,也是目前国际公认最权威的云上个人隐私保护认证,是ISO/IEC27001和ISO/IEC27002标准的拓展,为云服务供应商如何处理个人可识别信息(PII)的企业提供了指南。

2. 什么是PII?
PII被定义为:
--可被用于识别与此类信息相关的PII当事人;
--可直接或间接与PII当事人关联的任何信息。

3. ISO/IEC27018包含哪些原则性内容?
根据ISO定义,这些指南旨在:
——帮助公有云服务供应商在作为PII处理者开展业务时承担必要的责任‘;
——使公有云PII处理者在相关事务中保持透明,从而让客户可以选择经过良好治理的,基于云的PII处理服务;
——协助客户和公有云PII处理者达成合同协议。
——为云服务客户提供行使审核和合规全力及责任的机制。单独的一个人云服务客户审核托管在多方虚拟化服务器(云)环境中的数据可能在技术上不切实际,同时可能增大物理及逻辑的网络安全风险。

4. ISO/IEC27018适用范围有哪些?
ISO/IEC27018:2019于2019年1月份发布,规定了基于ISO/IEC27002的指南,其中考虑了保护PII的要求,这些要求可适用于公有云服务提供商的信息安全风险环境。
ISO/IEC27018:2019根据ISO/IEC29100中针对公有云环境的隐私原则,建立了普遍接受的控制目标、控制措施和指南,以实施保护个人身份信息(PII)的措施。
ISO/IEC27018:2019适用于所有类型和规模的组织,包括公共和私营公司、政府实体和非营利性组织,他们通过与其他组织签订合同的云计算提供作为PII处理器的信息处理服务。
ISO/IEC27018:2019中的指南也可能与充当PII控制的组织相关。但是PII控制器可能会收到额外的PII保护法规、法律的约束,而不适用于PII处理器。

5. ISO/IEC27018与ISO/IEC27001、ISO/IEC27002关系如何?
ISO/IEC27018基于ISO/IEC27002的基础上附件与云相关的15项控制要求,额外增加11个基于云的个人信息要求。因为ISO/IEC27001是基础规范,所以在进行ISO/IEC27018认证之前必须先经过ISO/IEC27001认证。

6. ISO/IEC27017与ISO/IEC27018有什么关系和区别?
相同之处:两者均是基于ISO/IEC27002标准的基础,是特殊领域的特殊要求;
不同之处:ISO/IEC27017针对云服务的信息安全控制提供了实施指导;ISO/IEC27018是首个专注于公有云个人数据保护的国际行为准则,更着重于个人隐私数据保护,基于ISO 27002的基础上,延伸定义新增个人资料的隐私保护